Banner object (1)

Hack and Take the Cash !

836 bounties in database
  Back Link to program      
20/06/2019
TChap logo
Thanks
Gift
Hall of Fame
Reward

Reward

TChap

DINSIC

The DINSIC - direction interministérielle du numérique
et du système d’information et de communication
de l’État - is in charge of the digital transformation of French State, in all its aspects:

  • modernization of the technical base,
  • creation of innovative public services,
  • open government ...

It provides support to public departments, advises the government and develops shared resources such as the state's inter-ministerial network (RIE - Réseau interministériel de l'état), FranceConnect Identity, data.gouv.fr or api.gouv.fr.

Scope of this program

DINSIC is developing the Tchap instant-messaging application. It is a end-to- end encrypted instant-messaging service dedicated to French administration. It is available with an Android and an iOS application, and a web interface available at https://www.tchap.gouv.fr. All of them exchange with the servers through an API at https://matrix.agent.*.tchap.gouv.fr.

Our application is open source. The code can be found at https://github.com/dinsic-pim/ for the clients and at https://github.com/matrix-org for the server.

Reporting & Disclosure Policy

DINSIC believes that working with skilled security researchers across the globe is crucial in identifying weaknesses in any technology. If you believe you've found a security issue in our products or services, we encourage you to notify us. We welcome working with you to resolve the issue promptly.

Let us know as soon as possible upon discovery of a potential security issue, and we'll make every effort to quickly resolve the issue.
Provide us a reasonable amount of time to resolve the issue before any disclosure to the public or a third-party.
Please avoid DDOSing us or causing any service disruption while testing our platform. And take care of not endangering the privacy or our members.
Do not try to over exploit the bug and access internal data for further vulnerabilities. We will determine the severity and reward accordingly.
If you find the same vulnerability several times, please create only one report and eventually use comments. You'll be rewarded accordingly to your findings.

Our application is open source. The code can be found at https://github.com/dinsic-pim/ for the clients and at https://github.com/matrix-org for the server. Please do not notify security issues through github. Notifications of publicly available issues will not be rewarded. Proposals of fix for security issues on the github will be appreciated. Commit timing shall be discussed during the security issue evaluation process. Additional credits can be attributed in case of accepted pull request.

What is the sensitive information on the server (for a non Tchap

participant) :

  • Modification of a public keys of a user
  • All information from the database, i.e. meta-data.

What is the sensitive information in a private room (for a non-participant

to the room) :

  • All information: messages, meta-data and attachments.
  • Private keys

On mobiles :

Exploitation of vulnerabilities or misconception of the mobile application (IOS & Android) allowing extraction of information about the user, his messages or that may lead to deeper exploitation and compromission of the Tchap application. Tchap information on the phone must be obtained via a malware-free phone or rooted or jailbreaked phone, using the means and permissions offered to any application.

What are sensitive information for Tchap mobile Application :

  • Private Key
  • Messages
  • Private room meta-data

Out of scope

Please note that www.tchap.gouv.fr is hosted by a third party and thus vulnerabilities related to the host are out of the scope.
Any website that is not listed explicitly in the scope.

Please note that we may modify the terms of this program or terminate it at any time.

French version

DINSIC

La DINSIC - direction interministérielle du numérique et du système d'information et de communication
de l'État - est en charge de la transformation numérique de l'État français, sous tous ses aspects :

  • la modernisation de la base technique,
  • la création de services publics innovants,
  • gouvernement ouvert ....

Elle apporte son soutien aux services publics, conseille le gouvernement et développe des ressources communes telles que le Réseau interministériel de l'État (RIE), FranceConnect Identity, data.gouv.fr ou api.gouv.fr.

La portée de ce programme

La DINSIC développe l'application de messagerie instantanée Tchap. Il s'agit d'un service de messagerie instantanée cryptée de bout en bout dédié à l'administration française. Il est accessible via une application Android et une application iOS, et une interface web disponible sur https://www.tchap.gouv.fr. Tous échangent avec les serveurs via une API sur https://matrix.agent.*.tchap.gouv.fr.

Notre application est open source. Le code est disponible sur https://github.com/dinsic-pim/ pour les clients et sur https://github.com/matrix-org pour le serveur.

Politique sur les rapports et la communication de l'information

La DINSIC considère qu'il est crucial de travailler avec des chercheurs qualifiés en sécurité à travers le monde pour identifier les faiblesses de toute technologie. Si vous pensez avoir trouvé un problème de sécurité dans nos produits ou services, nous vous encourageons à nous le signaler. Nous sommes heureux de travailler avec vous pour résoudre ce problème rapidement.

Informez-nous dès que possible dès qu'un problème de sécurité potentiel est découvert, et nous ferons tout notre possible pour le résoudre rapidement.
Accordez-nous un délai raisonnable pour résoudre le problème avant qu'il ne soit divulgué au public ou à un tiers.
Veuillez ne pas provoquer un DDOS ou causer une interruption de service pendant que vous testez notre plate-forme. Et veillez à ne pas mettre en danger la vie privée de nos membres.
N'essayez pas d'exploiter à outrance le bogue et d'accéder aux données internes pour d'autres vulnérabilités. Nous déterminerons la gravité et la récompense en conséquence.
Si vous trouvez la même vulnérabilité plusieurs fois, veuillez créer un seul rapport et éventuellement utiliser des commentaires. Vous serez récompensé en fonction de vos découvertes.

Notre application est open source. Le code est disponible sur https://github.com/dinsic-pim/ pour les clients et sur https://github.com/matrix-org pour le serveur. Veuillez ne pas notifier les problèmes de sécurité par l'intermédiaire de github. Les notifications d'émissions accessibles au public ne seront pas récompensées. Des propositions de corrections pour des problèmes de sécurité sur le github seront appréciées. Le calendrier d'engagement doit être discuté au cours du processus d'évaluation des problèmes de sécurité. Des crédits supplémentaires peuvent être attribués en cas de demande acceptée.

Quelles sont les informations sensibles sur le serveur (pour un non

participant Tchap) ?

  • Modification d'une clé publique d'un utilisateur
  • Toutes les informations de la base de données, notamment les métadonnées.

Quelles sont les informations sensibles dans un salon privée (pour un non-

participant au salon) ?

  • Toutes les informations : messages, métadonnées et pièces jointes.
  • Clé privée

Sur les téléphones :

Exploitation des vulnérabilités de l'application mobile (IOS & Android) permettant l'extraction d'informations sur l'utilisateur, ses messages ou pouvant conduire à une exploitation plus profonde et à des compromissions de l'application Tchap. Les informations Tchap sur le téléphone doivent être obtenues ni via un téléphone avec logiciel malveillant, ni via un téléphone rooté ou jailbreaké, en utilisant les moyens et autorisations offerts à toute application.

Quelles sont les informations sensibles pour l'application mobile Tchap ?

  • Clé privée
  • Messages
  • Métadonnées d'un salon privé

Hors scope

Veuillez noter que Tchap est hébergé par une tierce partie et que les vulnérabilités liées à l'hôte ne sont donc pas prises en compte.
Tout site Web qui n'est pas mentionné explicitement dans le champ d'application.

Veuillez noter que nous pouvons modifier les modalités de ce programme ou y mettre fin à tout moment.

In Scope

Scope Type Scope Name
android_application

https://play.google.com/store/apps/details?id=fr.gouv.tchap.a&hl;=fr

ios_application

https://apps.apple.com/fr/app/tchap/id1446253779

web_application

https://matrix.agent.*.tchap.gouv.fr

web_application

https://www.tchap.gouv.fr


This program crawled on the 2019-06-20 is sorted as bounty.

FireBounty © 2015-2019

Legal notices